Windows 2000 使用者權利和權限設定
使用者權利和權限
[表 1] 說明在獨立 Windows 2000 Professional 與 Server 系統以及在 Windows 2000 網域控制台上指派給使用者的預設使用者權限。表中也提供網域安全性原則中的預設使用者權限 (預設均為尚未定義)。網域安全性原則中的指派將會覆寫網域成員的本機安全性原則設定。
使用者權利/權限指派可在「本機及網域安全性原則 GUI」中找到,如下所示:
| • |
Windows 2000 Professional: [系統管理工具] -> [本機安全性原則] -> [安全性設定\本機原則\使用者權限指派] |
| • |
Windows 2000 Server: [系統管理工具] -> [本機安全性原則] -> [安全性設定\本機原則\使用者權限指派] |
| • |
Windows 2000 網域控制站: [系統管理工具] -> [網域控制站安全性原則] -> [Windows 設定\安全性設定\本機原則\使用者權限指派] [系統管理工具] -> [網域安全性原則] -> [Windows 設定\安全性設定\本機原則\使用者權限指派] |
[表 1]:使用者權利和權限
| 使用者權利/權限 | 說明 | 在獨立 Windows 2000 Professional 電腦上被指派此權限的群組 | 在獨立 Windows 2000 Server 電腦上被指派此權限的群組 | 在 Windows 2000 網域安全性原則(位於網域控制站上) 中被指派此權限的群組 | 在具有 AD 服務 (網域控制站安全性原則) 之 Windows 2000 網域控制站上被指派此權限的群組 |
|
登入權限 |
|
|
|
|
|
|
從網路 (SeNetwork |
可決定允許哪些使用者經由網路連接到電腦。 |
預設: 建議 |
預設: 建議 |
預設: 建議: |
預設: 建議 |
|
以批次工作 (SeBatch |
允許使用者使用批次佇列設備來登入。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
|
本機登入 (SeInteractive |
允許使用者在本機登入電腦。 |
預設: 建議變更: |
預設: 建議 |
預設: 建議: |
預設: 建議 |
|
以服務方式登入 (SeService |
允許安全性主體以服務方式登入。可以將服務設定為在 LocalSystem 帳戶下執行,該帳戶具有以服務方式登入的內建權限。所有在其他帳戶下執行的服務都必須被指派此權限。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
|
拒絕從網路 (SeDenyNetwork |
禁止使用者或群組從網路連接到電腦。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
|
拒絕本機登入 (SeDenyInteractive |
禁止使用者或群組在本機登入電腦。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
|
拒絕以批次檔 (SeDenyBatch |
禁止使用者或群組經由批次佇列設備登入。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
|
拒絕以服務方式 (SeDenyService |
禁止使用者或群組以服務方式登入。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
|
充當部分 (SeTcbPrivilege) |
允許將處理序驗證為使用者,藉此存取使用者所存取的相同資源。只有低階的驗證服務需要此服務。 可能的存取範圍不一定會受限於預設使用者的存取範圍,因為呼叫處理序可能會要求在存取權杖中加入自定額外存取。另外還需注意的是,呼叫處理序可以建立提供任何及所有存取的匿名權杖。此外,匿名權杖並不會為稽核記錄中的事件追蹤作業提供主要識別身份。 在預設狀況下,LocalSystem 帳戶會使用此權限。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
|
新增工作站 (SeMachineAccount |
允許使用者將電腦新增到特定的網域中。若要讓此權限生效,必須將其指派給網域中的使用者,且該使用者必須為網域控制站的本機安全性原則的一員。具有此權限的使用者可以新增多達 10 部工作站到網域中。 在 Windows 2000,此權限的行為是由組織單位的「建立電腦物件」權限和 Microsoft Active Directory® 中的預設「電腦」容器所複製。具有「建立電腦物件」權限的使用者可以將無限數量的電腦加入網域中。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議 |
|
備份檔案及 (SeBackup |
允許使用者避開檔案及目錄權限來備份系統。此權限只有在應用程式嘗試經由 NTFS 備份應用程式介面進行存取時才會選取。否則只會套用一般的檔案及目錄權限。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
|
略過周遊 (SeChangeNotify |
當使用者瀏覽任一 Microsoft Windows 檔案系統或登錄中的物件路徑,但缺少存取權限時,允許使用者通過這些資料夾。此權限不允許使用者列示資料夾內容,只允許使用者周遊其中的目錄。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
|
變更系統 (SeSystemTime |
允許使用者設定電腦內部時鐘的時間。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
|
建立權杖 (SeCreateToken |
允許處理序呼叫NtCreateToken 或其他建立權杖的 API 來建立存取權杖。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
|
建立永久 (SeCreate |
允許處理序在 Windows 2000 物件管理員中建立目錄物件。此權限特別適用於延伸 Windows 2000 物件名稱空間的核心模式元件。以核心模式執行的元件已經具備此權限,因此無須再指派。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
|
建立分頁檔 (SeCreatePagefile |
允許使用者建立和變更分頁檔大小。 |
預設: 建議: |
預設: 建議: |
預設: 建議 |
預設: 建議: |
|
偵錯程式 (SeDebugPrivilege) |
允許使用者附加偵錯工具到任何處理序。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
|
讓電腦 (SeEnable |
允許使用者變更在 Active Directory 中使用者或電腦的 [受信任可以委派] 設定。授予此權限的使用者或電腦還必須具有寫入物件上之帳戶控制旗標的權限。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
|
強制從 (SeRemote |
允許使用者從網路上的遠端位置關閉電腦。 |
預設: 建議: |
預設: 建議: |
預設: 建議 |
預設: 伺服器操作員 |
|
產生安全性 (SeAuditPrivilege) |
允許處理序在安全性記錄檔中產生項目。安全性記錄檔是用來追蹤未授權系統存取及其他與安全性相關的活動。 |
建議: |
建議: |
建議: |
建議: |
|
增加配額 (SeIncrease |
允許對其他處理序具有「寫入屬性」存取權的處理序,能夠增加指派給其他處理序的處理器資源配額。就系統微調作業而言,這項權限很有用,但是可能會被濫用 (例如用於拒絕服務攻擊)。 |
預設: 建議: |
預設: 建議: |
預設: 建議 |
預設: 建議: |
|
增加排程 (SeIncreaseBase |
允許對其他處理序具有「寫入屬性」存取權的處理序,能夠增加其他處理序的執行優先順序。 |
預設: 建議: |
預設: 建議: |
預設: 建議 |
預設: 建議: |
|
載入和卸載 (SeLoadDriver |
允許使用者安裝和解除安裝隨插即用裝置驅動程式。此權限無法用於非隨插即用的裝置驅動程式;只有系統管理員可以安裝這些裝置驅動程式。請注意,裝置驅動程式是當作受信任 (高度授權) 處理序來執行;如果使用者安裝惡意程式,並提供對資源的破壞性存取權,便可能造成此權限被濫用。 |
預設: 建議: |
預設: 建議: |
預設: 建議 |
預設: 建議: |
|
鎖定記憶體分頁 (SeLockMemory |
允許處理序將資料保存在實體記憶體中,以免系統將資料分頁至磁碟上的虛擬記憶體。指派此權限可能會導致明顯的系統效能降低。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
|
管理稽核 (SeSecurity |
允許使用者針對個別資源 (例如檔案、Active Directory 物件和登錄機碼) 指定物件存取稽核選項。物件存取稽核實際上不會執行,除非已在「稽核原則」中啟用。具有此權限的使用者也可以從事件檢視器中檢視和清除安全性記錄。 |
預設: 建議: |
預設: 建議: |
預設: 建議 |
預設: 建議: |
|
修改韌體 (SeSystem |
允許經由 API 的處理序或經由系統內容 Applet 的使用者來修改系統環境變數。 |
預設: 建議: |
預設: 建議: |
預設: 建議變更: |
預設: 建議: |
|
設定檔單一 (SeProfile |
允許使用者執行 Microsoft Windows NT 與 Windows 2000 效能監視工具來監控非系統的處理序效能。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
|
設定檔系統 (SeSystemProfile |
允許使用者執行 Microsoft Windows NT 與 Windows 2000 效能監視工具來監控系統的處理序效能。 |
預設: 建議: |
預設: 建議: |
預設: 建議 |
預設: 建議: |
|
將電腦 (SeUndock |
允許可攜式電腦的使用者利用按一下 [開始] 功能表上的 [退出 PC] 來解除鎖定電腦。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
|
取代處理序層級權杖 (SeAssignPrimaryToken |
允許父處理序取代與子處理序相關的存取權杖。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
|
還原檔案及 (SeRestore |
允許使用者在還原已備份檔案和目錄時避開檔案及目錄權限,並允許使用者將有效的安全性主體設為物件擁有者。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: |
|
關閉 (SeShutdown |
允許使用者關閉本機電腦。 |
預設: 建議 |
預設: 建議 |
預設:(尚未定義) 建議: |
預設: 建議: |
|
同步處理 (SeSyncAgent |
允許服務提供目錄同步處理服務。此權限僅與網域控制站相關。 網域控制站必須具有此權限才能使用 LDAP 目錄同步處理服務。擁有此權限的使用者可以讀取目錄中的所有物件和屬性,無論物件和屬性是否設有保護。在預設的狀況下,此權限會指派給網域控制站的系統管理員和 LocalSystem 帳戶 |
預設: 建議: |
預設: |
預設: 建議: |
預設: 建議: |
|
取得 (SeTakeOwnership |
允許使用者取得系統中任何安全物件的擁有權,包括 Active Directory 物件、檔案和資料夾、印表機、登錄機碼、處理序及執行緒。 |
預設:
建議: |
預設: 建議: |
預設: 建議變更: |
預設: 建議: |
|
從終端機裝置 (SeUnsolicited |
從終端機裝置讀取未經要求之輸入的必要權限。此權限已作廢且停用。此權限對系統沒有效用。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
上一篇:神秘UFO現身英國新聞直播
下一篇:DNS 名稱解析過程